GOVERNANCE, RISK & COMPLIANCE
Improved Governance, Risk & Compliance
Resiliens
Governance, risikoledelse og compliance støtter resilient drift, effektiv styring og god selskabsledelse. Resiliens handler om modstandsdygtighed og omstillingsparathed i jeres interne og eksterne kontekst. Governance
Cybersikkkerhedsproblemer udfordrer license to operate på tværs af brancher og sektorer. Resilient governance kræver en risikobaseret tilgang – i bestyrelsen, i topledelsens strategi og på både taktisk og operationelt niveau.Risikostyring
Er I forbered på worst case scenarier? Vi får 24 timers tidsfrist til at indrapportere kritiske hændelser i Cyber Resilience Act og NIS 2-loven kræver data- og cyber- hygiejne hos indirekte omfattede samt i vigtige og væsentlige enheder.Compliance
Få hjælp til at kortlægge jeres mosaik af compliance krav, sikkerhedstrusler, risici og tredjepart risikoledelsesbehov. Kortlæg kronjuveler og grundlaget for forretningskontinuitet (vigtige systemer og databackup til reetablering).
Cyber Resilience Act & License to Operate
CRA er lovkrav om cyberresiliens. Alle hardware- og software- produkter med digitale elementer får CRA essential requirements. OT miljøer, produktioner og industrien bør få sikret driftskritiske systemers kontinuitet imod cybertrusler og kompromittering. CRA er trådt i kraft med krav omkring risikovurderinger af IoT produkter. CRA er livscyklus SDLC krav til Security by Design (med misuse case Security by Default risiko scenarier) og krav til sårbarheds sikkerhedsopdatering i produktets levetid eller 5 år efter senest solgte enhed. Dataminimering er krav (se også Datastyringsforordningen, AI Act data governance og GDPR krav). CRA cybersikkerheds lovkrav er livscykluskrav til producent, importør, distributør og ved ‘substantial modification’ og integration af ét digitalt element i et produkt. CRA cybersikkerheds resiliens kravene tydeliggør supply chain problematikken.
AI Act
AI ændrer måden vi driver foretning og giver kundeservice med chatbots. AI løsninger har indvirkning på arbejdsgangsprocesser og effektiviseringsmuligheder samt klassifikation af ustrukturerede data og futuristiske udviklingsmuligheder. AI Act træder i kraft den 2. august 2026. Loven gælder alle der placerer AI-systemer i markedet, som integrerer AI i services eller bruger AI. Artikel 9 handler om eliminering og reduktion af risici, der skal identificeres og mitigeres med livscyklusfokus. Risici klassificeres indenfor uacceptabel, høj, begrænset og minimal. AI løsninger er ofte i AI value chains og understreger supply chain problematikken og kræver feedbackloops, data etik og transparens. AI Act definerer cybersikkerhedsspilleregler indenfor kunstig intelligens med horizontal cybersikkkerhed.
I KAN BRUGE NIS 2, AI ACT OG CYBER RESILIENCE ACT SOM KATALYSATORER
Er I klar til jeres cybersikkehed kompromitteres? Har I modstandsdygtighed og resiliens?
Forankr GRC strategisk hos bestyrelse: etabler taktisk resilient ledelse og integrer operationel risikoledelse. Kombiner holistisk syn på risikolandskab og integreret risikoledelse i jeres økosystem med tredjeparts risikostyring.
UDGANGSPUNKTET ER JERES BEHOV OG SITUATION
Få kickstartet GRC resiliens
TDC Erhvervs GRC services tilpasses til kundens behov. I kan få én fortrolig sparringspartner hos GRC teamet.
Tredjepart TPRM risikoledelse og leverandørstyring
Vi hjælper jer med at afgrænse og definere jeres leverandørstyring til jeres compliancebehov med risikoledelse til at sikre forretningskontinuitet, omdømmeledelse og supply chain resiliens.
Task Force & Styregruppe komite – kickstart 7 ugers Resiliens Program
Vi kick-starter strategi session med topledelsen. I kan få modenheds- og risikovurdering og faciliteret tværorganisatorisk resiliens (fx 1:1 train the trainer samt plenum risikoledelse og resiliens workshops). Kontakt os og hør, hvordan vi vil levere GRC services til jeres behov.
Executive Board Management Sessions - GRC Outlook & Business ERM Resiliens
I kan få 3 timers intensive Executive Board Management Workshops og serielle forløb om ledelses direkte og indirekte forpligtelser. Træn ledelsens resiliens og få strategiafklaring.
I kan få skræddersyet GRC Services – Governance, Risikoledelse og Compliance
Kontakt teamet for at høre mere om, hvordan vi kan hjælpe ud fra jeres situation og behov.
Holistisk integreret cybersikkerhed
EKSPERTTEAM TRUSTED GRC ADVISORY
TDC Erhverv GRC
Få indsigt i nye trusler, afklaring om konkrete risici og sektorspecifikke compliancekrav til cybersikkerhed.
Vi er et ekspert team med specialist kompetencer og services inden for governance, risikoledelse og compliance.
Vores rådgivning i governance og strategisk kommunikation og forandringsledelse bygger på forretningsindsigt og praktisk erfaring.
Vi er erfarne strategikere og flere af os har erfaring som CISO og vi kan eksekverer. I kan få hjælp til dokumentationsarbejdet. Vi er teknikere og indgår i IT driftsafdelingen og vores forretningsstrategikere kan træde ind på jeres ledelsesgange og give sparring og kan gå ind til jeres bestyrelse og give råd.
Få støtte til at sikre tredjepart risikostyring og TPRM leverandørkontrol. Hent tilpasset rådgivning til jeres modenheds- og risiko- niveau. Jeres situation er altid vores fokus.
JERES FORTROLIGE SPARRINGSPARTER
Best practices og skræddersyet
Kom på forkant. Få indsigt i nye compliancekrav. Få hjælp til jeres oversættelse i jeres kontekst.
Vi kan skræddersy vores services og rådgivning indenfor governance, risikoledelse og compliance.
GRC rådgivningen tilpasses altid til jeres kontekst; organisatoriske, tekniske og operationelle foranstaltninger og behov.
EKSPERTISE I CYBER RESILIENS
TDC Erhverv Cyber & Cloud Hub
TDC Erhverv servicerer kunder på tværs af sektorer og brancher. Vi har derfor valgt at etablere et GRC team.
Vi har et økosystem af sikkerhedsservices. I TDC Erhvervs Cyber & Cloud Hub har vi ekspertise inden for cybersikkerhed. GRC teamet har eksperter indenfor Governance, risikoledelse og compliance, som er grundlaget for holistisk integreret risiko ledelse og cyber resiliens. GRC teamet er erfarne rådgivende konsulenter og kan give hjælp, levere rådgivning og agere strategisk sparringspartner.
PRODUKTLIVSCYKLUS OG CYBER RESILIENS
Cyber Resilience Act definerer produktlivscyklus-krav. Fra Security by Design og Security by Default frem til end-of-life.
I kan få gaps og situationsanalyse. Vi kan koble governance og 27001 ISMS og compliance processer og IS027002 foranstaltninger til risiko ledelse integreret med ledelses godkendte politikker, tværorganisatorisk governance arbejdsgangsprocesbeskrivelser og instrukser til intern risikostyring (inkl. SDLC softwareudvikling i IEC 62443 serien). Etablér risikostyring i økosystem jf. NIS 2 lovkrav samt CRA compliance krav til cyber samt PLC supply chain resiliens.
Software og hardware produkter med digitale elementer, der er omfattet af CRA og forbundet med højrisiko-AI-systemer kræver risiko vurdering, der baseres på AI Act til vurderingen af cybersikkerhedsrisici. Ifølge Cyber Resilience Act (Artikel 12) skal der tages hensyn til AI systemets cyberrobusthed i planlægnings-, design-, udviklings-, produktions-, leverings- og vedligeholdelsesfaser.
Baseret på risikovurdering i Artikel 10(2) er der krav om Privacy by Design og Privacy by Default livscyklus SDLC og ‘data minimering’ (3e). At modvirke negativ indvirkning (3g) og minimere risici, sikre transmitterede, lagrede og behandlede data integritet samt sikre imod manipulation og data modifikation (3d). Data cyber hygiejne er NIS 2 lovkrav. AI Act kræver ‘data trust’.
CRA er cybersikkerhed og compliance lovkrav ud fra produktets kapabiliteter og kræver sårbarheds- og sikkerheds- opdateringer (3k). Der er konkrete krav til design, udvikling og produktion (3i). Producenterne skal kunne identificere, og dokumentere sårbarheder i produkt og sikre alle produktets komponenter. CRA er livscyklus cyberresiliens krav.
Indsigt og udsyn med TDC Erhverv GRC Knowledge Hub
CYBER RESILIENS & COMPLIANCEKRAV
Cyber Resilience Act
Produkter med digitale elementer har fået nye krav om cyber resiliens. CRA er trådt i kraft og får effekt fra december 2027. Sårbarhedsopdatering ergældende lov fra 2026. Der er produktlivscykluskrav til Security by Design og Security by Default og end-of-life krav - til producent, distributør og importør om cyber resiliens.
SIKKERHED, INNOVATION & UDVIKLING
AI Act Kræver Awareness
Brug af AI-løsninger giver nye effektiviserings- og innovations- muligheder. Brug af AI kræver altid en risikobaseret tilgang, data- og cyber- hygiejne, data klassificering, due diligence dokumentation og risikovurderinger. Kvalificeret brug og data etik er essentielt i brug af AI og udvikling af AI løsninger fx selvudviklede chatbots for at få fuld værdi af AI.
CYBERSIKKERHED ER EN PRÆMIS
Integrer sikkerhed
Et veldefineret integreret ISMS ledelsessystem er governance rammeværk til at sikre IT sikkerhed, politikker, procedurer og kontroller med instruks implementeret i praksis. Integreret risikoledelse bidrager til at optimere cyber- og data- hygiejne, fortrolighed, integritet og tilgængelighed. Cyber Resiliens er et strategisk konkurrenceparameter.
KRAV TIL PRODUKTLIVSCYKUS & CYBERSIKKERHED
CRA KRÆVER CYBERSIKKERHEDSRESILIENS
Cyber Resilience Act er Forordning (EU) 2024/2847 om horisontale cybersikkerhedskav til produkter med digitale elementer. CRA har direkte virkning i dansk lov. Objektive og teknologineutrale væsentlige cybersikkerhedskrav og 24 timers underretningspligt, når producenter opdager en aktivt udnyttet sårbarhed eller alvorlig hændelse med indvirkning på sikkerheden af produktet. Afgræsning af ‘intended use’ stiller krav til marketing og salg. Livscyklus skal forstås og afgrænses i kontraktrelationer i indkøb af produktkomponenter.
At sikre softwareopdatering, monitorering, sårbarhed- og risiko-ledelse kræver IT kontrakt relationer samt supply chain og cyber resiliens. CRA compliance er tværgående videns- og forandringsledelse med dialogisk samspil for at sikre kontinuitet, tilstrækkelige foranstaltninger og modstandsdygtig beredskab, så I kan fokusere på vækst og udvikling.
Vi leverer helhedsorienterede løsninger. TDC Erhvervs GRC services kan også skræddersyet til jeres governance, risikoledelse og compliance krav.
PRODUKTLIVSCYKLUS CYBERSIKKERHEDSKRAV
CRA & cybersikkerhedkrav
CRA har 3 kategorier af pligtsubjekter:
1) Producent 2) Dristibutør 3) Importør
Substantielle modificationer af produkter kan give producentansvar og behov for en ny risikovurdering. Hardware og software produkter med digitale elementer med remote data processing løsninger har fået conformity assessment og compliance krav.
Forbundne softwareprodukter og serviceplatforme, der er API forbundne kan få horizontale cybersikkerhedskrav. CRA vil tydeliggøre supply chain probematikken. Kommercielle open souce økosystem og open source software stewards får krav om at dokumentere cybersikkerhedspolitik og rapportere om sårbarheder og væsentlige hændelser. CRA stiller krav til brugere om installation, brug og vedligehold. Scenarier skal definers for rimelig forudsigelig brug ved SDLC Security by Design og Security by Default og risiko vurderinger skal foretages. Producenter bør oprette centralt kontaktpunkt og skal sikre udsendelse af software- og sårbarhedsopdatering i hele produktlivscykus supportperioden.
BESKYT OT/IT/IOT MILJØ IMOD KASKADEEFFEKT
Etablér cyber resiliens
Cyber Resilience Act understreger værdien af en proaktiv tilgang til cybersikkkerhed. Et komplekst trusselslandskab sætter nyt fokus på behov for forretningskontinuitet, beredskab og cyber resiliens.
Integreret informationssikkerhed og ISMS giver strategisk fundament for IoT og OT sikkerhed. Dokumentation og tilstrækkelig argumentation giver afklaring om risiko accept kriterier og kvalificet risikoappetit. I kan med fordel inddrage standarder, som IEC 62443 til at styrke ICS og OT miljøet. CRA kan favne IT og OT og er grundlag for en helhedsorienteret sikkerhedsstrategi. Jeres grundlag for cyber resiliens.
Har I sikret cybersikkerhed og sikret tilstrækkelige foranstaltninger i fysiske og digitale domæner med safe zones inden for netværk, trust boundaries og fysiske DMZ zoner og angrebsflader og mis/usecase scenarier samt defineret attack defence vectors? At forblive cyber resilient kan blive License to Operate. Compliance as a Service kan give muligheder og nye konkurrenceparametre. Dét er rammelov.
SUPPLY CHAIN PROBLEMET & CYBER RESILIENS
Hardware og software produkter med digitale elementer får CRA cybersikkerhedsregler
Overensstemmelsevurderingprocedurer i forhold til essential requirements er vigtig og risikovurderinger er krav så produkter designes, udvikles og produceres sikkert. Cybersikkerhed er produktlivscykluskrav.
"Under visse omstændigheder kan alle produkter med digitale elementer, der er integreret i eller forbundet med et større elektronisk informationssystem, fungere som angrebsvektor for ondsindede aktører. Som følge heraf kan selv hardware og software, der anses som mindre kritisk, lette den indledende kompromittering af en enhed eller et netværk, der gør det muligt for ondsindede aktører at få privilegeret adgang til et system eller bevæge sig sideværts på tværs af systemer".
Definer principper for databehandling (jf. stored, transmtted og processed data) for data minimering er lovkrav med CRA. CRA er livscyklus krav om cyber resiliens.
Resilient Governance, Risk & Compliance
MODSTANDSDYGTIGHED
Operationel Resiliens
Aktuelle høje trusselsniveauer på tværs af sektorer og krav om omstillingsparathed samt risici for kompromittering af drift og kontinuitet og omdømmeledelse kræver operational resiliens. En risikobaseret tilgang er essentiel.
Få sparring til implementering af en effektiv GRC-strategi, der sætter strategiske ramme og retning til at prioritere indsats og sikre grundlag for indfrielse af strategiske mål, sikre imod kompromittering af drift, data og cybersikkerhed i jeres værdikæde og risikolandskab.
SÆT REAKTIONSEVNEN OP
Organisatorisk Resiliens
Resiliens handler om, at I sikrer organisatorisk resiliens og øget awareness i jeres organisation.
Tværorganisatorisk Governance, compliance med due diligence og reelt integreret risikoledelse.
Resiliens handler om, at I sikrer tilstrækkelig opmærksomhed og resilient beredskab på tværs af organisationen med klare roller og ansvar i teams og i ledelsen.
VIDENDELING & VIDENLEDELSE
Resiliens program beredskab & ledelse
Ansvaret for cyber-resiliens bør forankres i topledelsen og hos bestyrelsen, især hvis I omfattes af eksempelvis NIS2 lovkrav.
Tredjeparts trusler for fx data tab og/eller behov for reetablering efter et cyberangreb kan lamme, som lynnedslag. Det handler om proaktivt og reaktivt beredskab.
Faciliter øget resiliens. Start Task Force, find ambassadører og lav et tværorganisatorisk Resiliens Program: implementeret i jeres økosystem og resiliens strategi.
HOLISTISK KONTROL & UDVIKLING
Supply chain resiliens & TPRM
Få støtte til at define leverandørkrav og til at sikre, at I indsamler tilstrækkelig dokumentation på en struktureret måde til at sikre due diligence leverandørkontrol.
Cyber-resiliens kræver strategisk risikoledelse og risikostyring på taktisk plan, operational plan og i hverdagens driftproces. Truslen fra tredjepart skal varetages med klare instrukser til risikoledelse.
Få hjælp til afklaring: om trusler, risici og leverandørspørgsmål: ud fra jeres compliancekrav til (under) leverandør risikoledelse.
Hvad er NIS 2-loven?
EU's NIS 2 Direktiv trådte i kraft den 18. oktober 2024. I Danmark er NIS 2-loven (LOV nr 434 af 06/05/2025) Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau implementeret i dansk ret med forsinkelse. NIS2 loven er fra 1. juli 2025 gældende lov.
Danmark er et gennemdigitaliseret land. Det globale aktuelle høje cybertrusselsniveau gør cybersikkerhed er blevet en præmis for både statslige, offentlige og private aktører. Små enheder og SMV'er er i økosystem af underlerandører, kædeled og 80% af dansk erhvervsliv.
Sektorprincippet gælder i Danmark. Der afviges delvist fra princippet forhold til tilsynsmyndigheder for de vigtige og væsentlige enheder. Det er fastlagt ved bekendtgørelse, hvilken myndighed der er jeres sektorspecifikke tilsynsmyndighed, læs mere på Ministeriet for Samfundssikkerhed og beredskab website og myndigheds websites.
NIS2-loven er gældende dansk lov, se Kapitel 3 pkt. 1-10.
10 Minimumskrav
See NIS 2 Directive Artikel 21 PKT. A-J